600 millions de mots de passe Facebook et Instagram stockés sans protection, Meta écope encore d’une amende record pour sa négligence

Facebook et Instagram viennent d'écoper d'une amende salée de la part de l'UE. Meta, la maison-mère des réseaux sociaux, est accusé d'avoir stocké en clair les mots de passe de plus de 600 millions d'utilisateurs en 2019 à cause d'une faille de sécurité.

Ce vendredi 27 septembre 2024, Meta vient d'écoper d'une nouvelle amende record de la part de la Commission de protection des données irlandaise (DPC). Sous la direction de l'UE, les gendarmes irlandais ont reproché à la maison-mère de Facebook et Instagram d'avoir stocké en clair durant des années (depuis 2013) les mots de passes de plus de 600 millions d'utilisateurs à travers le monde.

Souvenez-vous, cette affaire avait fait grand bruit en 2019. Concrètement, ces données étaient accessibles à tous les employés de la compagnie américaine sur des serveurs internes. D'après des informations publiées par Krebs à l'époque, les salariés de Meta ont effectué plus de 9 millions de recherches dans ces fichiers. Pas moins de 2000 ingénieurs/développeurs ont pu accéder à ces informations pourtant strictement personnelles.

A lire également : Google admet avoir exposé des mots de passe en clair sur ses serveurs depuis 2005

91 millions d'euros d'amende pour Meta

Après des années d'enquête, la DPC a donc enfin rendu son verdict sur cette affaire. Meta a ainsi écopé d'une amende de 91 millions d'euros pour avoir enfreint le RGPD (Règlement générale sur la Protection des données) en raison de son manque de transparence sur cette faille. Pour cause, si les premiers éléments concernant cette vulnérabilité ont commencé à faire surface en janvier 2019, la DPC n'a été officiellement prévenue par Meta qu'en mars, soit deux mois plus tard.

“Il est largement admis que les mots de passe des utilisateurs ne doivent pas être stockés en clair, compte tenu des risques d'abus qui découlent de l'accès des personnes à ces données”, a déclaré Graham Doyle, commissaire adjoint à la DPC, dans un communiqué officiel. Il poursuit : “Il faut garder à l'esprit que les mots de passe qui font l'objet d'un examen dans cette affaire sont particulièrement sensibles, car ils permettraient d'accéder aux comptes de réseaux sociaux des utilisateurs”. 

De son côté, Meta a reconnu sa part de responsabilité, tout en se défendant sur son manque supposé de réactivité. Dans une déclaration fournie à l'AFP, la société a admis que les mots de passe de certains utilisateurs “ont été temporairement enregistrés dans un format lisible dans nos systèmes de données internes”. Dans le reste de son communiqué, Meta assure toutefois avoir “pris des mesures immédiates pour corriger cette erreur”, ajoutant au passage qu'elle n'a trouvé aucune preuve d'une utilisation malveillante ou abusive.

Source : Le Monde